Linux の暗号化パーティションでデータを保護する――1

避けられない凡ミス

最近、「株式会社 X、3,000万人分の顧客情報と社内の個人・財務データ紛失の大失態」といった見出しをよく見る。また、このような事件は「請負業者」（なぜか社員であることはない）が（想像するに）数 TB の容量を持つハードディスクを搭載したノート PC に社内文書をすべて保存していたところ、これを紛失もしくは盗まれたが、それがいつどこでのことだったかだれにも分からない、というのが毎回だ。

ほかにも、バックアップテープの入った巨大な箱を、資金難からロックもかからない車しか購入できないベンダーが輸送していた話が出る。筆者には、これらはウソ八百で現実離れしているようにしか聞こえない。

そもそも、一体全体なぜ請負業者などがそれほどの機密データを持っていて、なぜ世界中のあらゆる情報を網羅したようなデータベースが彼らのノート PC に搭載されているのだ？　機密性の高いバックアップテープの入った巨大な箱を最低賃金で雇われた若造がポンコツ車で持ち歩いているのはなぜだ？　どのデータを紛失したのか、それが暗号化されたいたか、何らかの形でプロテクトがかかっていたかさえはっきり分からないのはなぜなのだ？　疑問があまりにも多いのに対し、その答えはあまりに少ない。

そこで、 今回はハードディスク上にある機密データを暗号化されたファイルシステムで保護する問題に重点を置く。これはモバイルユーザー以外にも、ワークステーションやサーバーで余裕を持ってデータのセキュリティを確保しておきたい方全員を対象にしている。簡単かつ強力であるとの理由から、ここでは「cryptsetup-luks」を使う。そして、マウント時にしかパスワードを要求しない暗号化パーティションを作成する。これならば、ほかのパーティションと同じように使えるだろう。

Debian、Ubuntu、そして Fedora は、いずれも「cryptsetup-luks」が利用できる。カーネルをハッキングしていじり回すような必要はない。インストールするだけで OK だ。Debian と Buntu ファミリーでは次のようにする。

# aptitude install cryptsetup

一方、Fedora では以下のようになる。

# yum install cryptsetup-luks

次へ：システムの準備 »

目次 1 避けられない凡ミス 2 システムの準備 3 パーティションの暗号化 4 ユーザーへの公開